SymantecSEP终端安全与准入控制PartnerTraining

SymantecSEP终端安全与准入控制2–SymantecSEP解决方案终端安全管理问题和解决之道Symantec优势和案例分析竞争对比Agenda3–企业终端管理的典型问题终端网络接入带来的问题–第三方人员的电脑接入–VPN远程接入的安全风险–存在安全隐患的终端网络访问终端自身安全防护问题–单一的防病毒不能防范最新的安全威胁–如何防范蠕虫病毒和攻击事件？–如何限制终端应用程序的使用？–泄密、非法拨号外联终端安全管理问题–如何实现企业的安全策略？–如何进行有效管理？4–网络保护的发展－过去，现在，下一步InternetE-NetInternetE-NetE-NetE-NetE-NetNetworkAccessControlManagedUnmanagedUnmanageableQuarantineGuestInternetPerimeterNetworksInternet-BasedMulti-PerimeterNetsAdmissionControlledComplianceNetworksProduction5–端点保护的发展－过去，现在，下一步HostProtectionAVHostProtectionNetworkProtectionPFWRemediationALSBufferOverflowIPSHostProtectionAVSpywareNetworkProtectionPFWRemediationALSBufferOverflowIPSInfoProtectionVirtualizedEncryptionDRMNACOSBehaviorPhishingProtectDevicesProtectDevices,Apps&NetworksCompliance&ProtectionforDevice,Apps,Net,Info,etc.UniversalComplianceFrameworkPolicyEnforceAVSpywarePolicyEnforcePharming6–“WithSygate,allPrudentialFinancial’sworkersareguaranteedtobeinatrustedstatebeforegainingnetworkaccess.”KenTyminski,CISO,PrudentialFinancial网络准入控制+终端安全保护＋集中安全策略管理“SYGATE的解决方案确保了我们所有的终端在被允许接入公司网络之前都是安全的，可信的。”SymantecSygate方案解决之道7–发现–提供防护的第一步是知道所有网络端点的安全状态遵守–安全管理系统必须能够覆盖所有网络端点，才能要求用户不间断地遵守安全规范强制–只有遵守规范的端点才给予网络接入的权限，且这种强制对用户是透明的修复–全自动化的安全完整性修复以提高安全管理的效率和安全系统的投资回报率实现用户对安全政策不间断的遵守自动化的安全管理流程8–缔造全新的动态安全管理架构网络安全持续改进9–SymantecSEP解决方案终端安全管理问题和解决之道Symantec优势和案例分析竞争对比Agenda10–SygateEnterpriseProtection解决方案构成网络准入控制SNAC–SygateNetworkAccessControl–主机完整性和修复HostIntegrity&Remediation终端安全防护Protection–Firewall–HIPS–OSProtection–AdaptivePolicy处所切换11–SygateEnterpriseSolution（SEP）体系架构Sygate策略管理服务器SPMSygate强制服务器–LANEnforcer–GatewayEnforcer–DHCPEnforcer–On-DemandEnforcerSygate安全代理–Sygate保护代理SPA–Sygate强制代理SEAPolicyManagerDHCPEnforcerLANEnforcerLANEnforcerMicrosoftSQLDatabaseMicrosoftSQLDatabaseGatewayEnforcerGatewayEnforcerSEPAgentSEPAgentDHCPServerDHCPServer12–•OSProtection(File,Registry,ProcessControl)•SystemLockdown(ApplicationControl)•BufferOverflowProtection•PeripheralDeviceControlFWHIPSAdaptivePoliciesOSProtection•NAC/NAP•DHCP/LAN/Gateway/API•Auto-LocationSwitching•DesktopFirewall•Signature-basedIPSEnforcementHostIntegrity•HI&RemediationAdaptivePolicies•NAC/NAP•DHCP/LAN/Gateway/API•Auto-LocationSwitchingEnforcementHostIntegrity•HI&RemediationSygateEnforcementAgentSygateProtectionAgentSEAvsSPA13–SEP企业级的管理功能可扩展的多服务器架构–容错性、集群、影子数据库–策略及日志复制–策略分发(推/拉)–可配置的优先级/负载均衡策略管理–可继承的多层组管理–能按计算机或用户管理（NT域，活动目录、LDAP）–可重用的策略对象–活目录用户及组同步功能集中的日志与报表–事件转发(Syslog,SIMs)–每日或每周通过E-mailed发送报告14–WhatisNACNetworkAdmission/AccessControl(NAC)核心思想－屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本15–NAC可以解决的问题恶意代码的泛滥导致网络的拥堵和瘫痪访客和移动用户的私自接入内部未授权的访问和网络滥用未授权的卸载和篡改问题为终端标准化提供技术保障新的安全建设保障机制，替代费时、费力的周期性安全审计安全自动化，降低安全成本在NAC架构中保护已有的安全投资利益16–SymantecSygateNAC的流程1.定义安全策略2.发现网络中不符合安全规范的终端InstalledAgentLoadableAgent3.强制网络准入控制LAN,DHCP,GatewayEnforcerSelf-EnforcementOn-DemandEnforcement和主流安全架构整合(CNAC,MSNAP,TNC)UniversalEnforcementAPI4.修复不符合规范的端点5.连续监控Policy17–策略决策点策略管理接入设备已管理的台式机未管理的已管理的移动用户策略强制点远程接入SSL&IPsec认证服务-RADIUS局域网交换机&无线全面的SymantecSNAC架构Sygate管理服务器(分布式,高弹性,与目录技术集成)LANEnforcer无法管理的端点-PFWIP地址服务-DHCP透明网关Gig-ECiscoNACGatewayEnforcerSelfEnforcerDHCPEnforcerOn-DemandEnforcerPDA18–接入强制－802.1x802.1X交换机+SYGATE身份认证+安全检查19–SygateSecureEnterpriseSygateOn-DemandSygateMagellanCorrelatorSygateDiscoveryEngineSygateNetworkAccessControl工作原理TravelingExecutiveHotelPartnerKioskPrinterWorkstationGuestATMRemediationRadiusApplicationsSygateEnforcerSygateManagementSystemWireless802.1xSwitchPasswordTokenUserNameStatusEAPPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleXCompliantNon-Compliant802.1xEnforcementPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePasswordTokenUserNameStatusEAPPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleXPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleGuestEnforcementGateway/APIEnforcementCompliantNon-Compliant20–`SygateAgent802.1xSwitchFW/VPNGatewayEnforcer`SygateAgent`LegacySwitchDHCPServerUnknownLaptopUnknownDeviceInternetLANEnforcerEnterpriseServersPhoenixServersGoRadiusGoRadiusDHCPEnforcerPDAAgent`SygateAgentSymantec全面的SNAC解决方案21–SymantecSNAC完整性检查的内容LanEnforcerGatewayEnforcerDHCPEnforcerSygatePolicyServerSygateOn-DemandSelfEnforcementCNAC,MSNAP,TNCUniversalAPIAntiVirusHostFirewallServicePackSygateEnforcementAgent反间谍软件主机入侵防御Hotfix自定义…核准的程序NetworkSecurity＝SUM（HostIntegrity）策略执行策略强制策略制定22–主机完整性：主机系统所采用的安全措施的完整性自动化修复•动态提示•绿色通道•自动连接到服务器下载最新的版本、特征库和补丁全面修复•安装缺失的安全应用•更新安全软件特征库•检查并安装系统关键安全补丁•检查并修复系统安全设置•……安全策略自动化修复23–企业NAC的需求(SymantecValue)普遍的端点覆盖–可管理的笔记本，台式机，服务器–未管理的访客，合同工，家庭电脑中央的，可扩展的,灵活的策